Source : Ministère de l’économie et des finances
Selon la Cour de justice de l’Union européenne, le RGPD précise la portée du droit pour toute personne de connaître les détails et motivation de la consultation de ses données à caractère personnel.
La Cour de justice de l’Union européenne (CJUE) était saisie d’une question préjudicielle posée par le tribunal administratif de Finlande orientale concernant l’interprétation de l’article 15 du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données dit RGPD). Cet article prévoit le droit d’accès de la personne concernée à certaines informations relatives au traitement de ses données à caractère personnel.
En l’espèce, un ancien employé et client d’une banque, apprenant que ses données à caractère personnel avaient été consultées par d’autres membres du personnel de la banque, a formulé une demande de communication de l’identité des personnes ayant consulté lesdites données, les dates exactes des consultations ainsi que les finalités du traitement de ces données. La banque a refusé de communiquer l’identité des salariés ayant procédé à la consultation des données au motif que ces informations constituaient des données à caractère personnel de ces salariés mais en a néanmoins précisé les finalités et les modalités.
Le demandeur a par la suite été débouté de sa demande devant le Bureau du délégué à la protection des données de Finlande.
Saisi de l’affaire, le tribunal administratif de Finlande orientale a décidé de surseoir à statuer afin d’interroger la CJUE pour savoir si la personne concernée visée à l’article 15, paragraphe 1 du RGPD dispose d’un droit d’accès aux informations révélant l’identité des personnes ayant procédé au traitement de ses informations à caractère personnel, la date ainsi que la finalité du traitement.
La Cour répond que l’article 15 du RGPD doit être interprété en ce sens que les informations relatives à des opérations de consultation des données à caractère personnel, portant sur les dates et les finalités de ces opérations, ainsi que sur l’identité des personnes physiques ayant procédé à ces opérations, constituent des informations que cette personne a le droit d’obtenir du responsable du traitement.
Toutefois, la Cour vient préciser que le RGPD ne consacre pas un tel droit s’agissant des informations relatives à l’identité des salariés ayant procédé à ces opérations sous l’autorité du responsable de traitement, à moins que ces informations soient indispensables pour permettre à la personne concernée d’exercer de manière effective les droits qui lui sont conférés par le RGPD et à condition qu’il soit tenu compte des droits et des libertés de ces salariés. Elle ajoute que l’activité bancaire du responsable de traitement est sans incidence sur l’étendue du droit dont bénéficie la personne concernée.
Au travers de cette réponse la Cour souligne l’importance que revêt la conciliation entre, d’une part, le droit d’accès aux informations relatives aux données personnelles et, d’autre part, les droits et libertés d’autrui. Cette mise en balance, précise-t-elle, doit se faire en favorisant les modalités ne portant pas atteinte aux droits et libertés d’autrui.